阿北能不能看到我在豆瓣的账户对应的密码?
完全可以。
无图无真相。我们先来看看豆瓣登录界面。
豆瓣的登录位置有好几个,在哪登录都无所谓。问题是当你点击登录按钮后,你的登录密码未经任何变换,直接以明文提交到服务器上的。为了证明这一点,我们尝试登录,然后用fiddler捕获一下请求过程,如下图。
当然,因为我输入的是假的密码,所以登录失败了。但是从 fiddler 上我们可以清楚的看到密码 12345678 就这么乖乖的躺在那里。
这意味着什么?
这意味着只要豆瓣愿意,它可以在服务端记录下你的原始密码。不管最终它是否会将你的密码以哈希或加密方式存储,但至少,豆瓣有机会知道用户登录密码的明文。
豆瓣为什么要这么做?
首先,对于豆瓣来说,你的帐户的所有信息,它都可以在不需要密码的情况下进行任意的修改,所以豆瓣对用户的密码其实并不感兴趣。其次,豆瓣确实会将用户的密码哈希变换后再存入数据库,用于一定程度上防范黑客直接获取到用户的明文密码。
但是由于问题问的是“阿北能不能看到我在豆瓣的账户对应的密码?”,阿北回答不能。通过上面的分析我们知道,不是不能,只是不愿意而已。如果豆瓣需要,随时可以拿到活跃用户的明文密码。
如何改进?
在进行下面的讨论之前,我们必须提醒大家,豆瓣在登录验证的部分已经采用SSL加密来保护了,上面描述的问题并不是在暗示大家“豆瓣不安全”(安不安全是另外一个问题了),这里要讨论的是,虽然阿北声称无法看到用户的明文密码,但是我们通过简单的技术分析已经可以明确阿北在技术上依然可以轻松的看到用户的密码,并且用户无法知道。
我现在想知道的是,到底有没有一种办法,可以让阿北可以坦荡的向用户拍胸脯保证绝对看不到用户的明文密码,并且在技术上来说这种保证是可靠的——任何人都可以在客户端进行验证确保其没有作假?
事实上这样的方案是存在的。
具体方案:基于哈希+HTTPS
当用户注册和登录时,用户的密码不会被通过网络直接发送明文,而是先经过哈希后再发送,并且发送时采用 HTTPS 加密。这种方案的核心在于,哈希运算是在客户端完成的,因此服务端接收到的用户密码都不是明文,阿北确实可以拍着胸脯说不会看到用户密码。由于中途通信加密了,安全性看起来还不错。但是我们也注意到,如果没有 HTTPS 的保护,这种方案非常容易遭受重放攻击。这一方案在业内可以说已经算常识了。大多数稍微有点安全意识的开发人员都知道。
网站需要用https访问就需要部署SSL证书。
SSL证书专业提供商:沃通(WoSign)CA: http://www.wosign.com/index.htm
国产SSL证书和国外SSL证书对比:
http://www.wosign.com/about/WoSign_ForeignCA_compare.htm
相关推荐
豆瓣网阿北:首页将改版 拟取消豆瓣说.docx
阿北快跑:文艺清新的慢豆瓣究竟如何提速?.docx
对话豆瓣阿北:找到用户价值的外部性.docx
淘宝的SNS化?阿里马云需找豆瓣阿北取经.docx
塔里木盆地阿北、顺北区块古生界碳、氧同位素特征及其环境意义,李彬,李谦,主要介绍了碳、氧同位素的分析原理和其在沉积环境方面的意义,分析了塔里木盆地阿北、顺北区块古生界样品的测试数据,得到以下认
网站还提供书影音推荐、线下同城活动、小组话题交流等多种服务功能,它更像一个集品味系统(读书、电影、音乐)、表达系统(我读、我看、我听)和交流系统(同城、小组、友邻)于一体的创新网络服
环阿瓦提凹陷区(环阿区)的油气勘探一直没有重大突破,近年来随着钻探技术及认识程度的提高,对环阿区油气勘探前景,尤其是对...在此基础之上,通过分析其油气地质条件,得出该井区具有构造圈闭规模大、毗邻中上奥陶统
其它特点包括文本手稿、易于使用的工具条、用户的键位图编辑器、可定制的ANSI颜色等.SecureCRT的SSH协议支持DES,3DES和RC4密码和密码与RSA鉴别. SecureCRT可以代替windows自带的超级终端程序和telnet命令。Win7...
语言:中文 (简体) 北哥小秘书是一个浏览器扩展,当前支持chrome、360安全浏览器、360急速浏览器,发布小秘书的目的是让你、阿北、Yii2三者的关系更近。 北哥小秘书是一个浏览器扩展,这里有很多
3、暂时不支持64位操作系统 4、运行在NET3.5框架上 功能说明: ---------------------------------- 1、支持HTTP、HTTPS、FTP、SOCKET5协议 2、支持本地ADSL拨号、支持远程ADSL拨号 3、支持拨号WEB回调功能 4、...
则在反编译完成后,使用外部编辑器打开源文件; 2、在文件夹上点击右键,选择“用XJad反编译”,将该文件夹下所有*.class文件进行 反编译,并保存至该文件下,依据包路径信息生成文件夹路径,如...
运行j2ewiz.exe 选择需要转换成exe的jar 勾选应用程序类型以及启动类 快速生成exe
Java基本面VIP直播流程图.svg
通过对快递企业物流管理系统的设计和开发,了解了数据库的设计与开发的全过程,达到巩固数据库理论知识、锻炼实践能力和构建合理知识结构的目的
idolchamp.apk
该工具可查看apk所有信息,应用名、包名、版本名、版本号、文件MD5、权限信息列表
JQuery实现仿钉钉审批流程设置